Vulnerabilidades

quinn-proto es una máquina de estados para el protocolo de transporte QUIC. Antes de las versiones 0.9.5 y 0.10.5, recibir tramas QUIC desconocidas en un paquete QUIC podía provocar pánico. El problema se solucionó en las versiones de mantenimiento 0.9.5 y 0.10.5.

Hydra es the layer-two scalability solution para Cardano. Antes de la versión 0.13.0, no firmar ni verificar `$\mathsf{cid}$` permite que un atacante (que debe ser un participante de este encabezado) use una instantánea de una instancia principal anterior con los mismos participantes para cerrar el encabezado o disputar al Estado. Esto puede llevar a una distribución incorrecta del valor (= ataque de extracción de valor; difícil, pero posible) o impedir que la cabeza finalice porque el valor disponible no es consistente con el estado utxo cerrado (= denegación de servicio; fácil). Está previsto un parche para la versión 0.13.0. Como workaround, rote las claves entre los cabezales para no reutilizarlas y no generar los mismos participantes con firmas múltiples.

Frappe LMS es un sistema de gestión de aprendizaje de código abierto. En las versiones 1.0.0 y anteriores, en la Página Personas de LMS, había una vulnerabilidad de inyección SQL. El problema se ha solucionado en la rama "principal". Los usuarios no enfrentarán este problema si usan la última rama principal de la aplicación.

Zope es un servidor de aplicaciones web de código abierto. Antes de las versiones 4.8.10 y 5.8.5, existe una vulnerabilidad de Cross Site Scripting almacenado para imágenes SVG. Tenga en cuenta que una etiqueta de imagen con una imagen SVG como fuente nunca es vulnerable, incluso cuando la imagen SVG contiene código malicioso. Para explotar la vulnerabilidad, un atacante primero tendría que cargar una imagen y luego engañar al usuario para que siga un enlace especialmente manipulado. Los parches están disponibles en Zope 4.8.10 y 5.8.5. Como workaround, asegúrese de que el permiso "Add Documents, Images, and Files" solo esté asignado a roles confiables. De forma predeterminada, sólo el Administrador tiene este permiso.

Vulnerabilidad de inyección SQL en Prestashop opartplannedpopup 1.4.11 y anteriores permite a atacantes remotos ejecutar comandos SQL de su elección a través del método OpartPlannedPopupModuleFrontController::prepareHook().

Sudo-rs, una implementación segura de memoria de sudo y su, permite a los usuarios no tener que ingresar autenticación en cada intento de sudo, sino que solo requiere autenticación de vez en cuando en cada terminal o grupo de procesos. Solo una vez que haya transcurrido un tiempo de espera configurable, el usuario deberá volver a autenticarse. Esta funcionalidad admite un conjunto de archivos de sesión (marcas de tiempo) para cada usuario, almacenados en `/var/run/sudo-rs/ts`. Estos archivos se nombran según el nombre de usuario desde el que se realiza el intento de sudo (el usuario de origen). Se descubrió un problema en versiones anteriores a la 0.2.1 donde los nombres de usuario que contenían los caracteres `.` y `/` podían provocar la corrupción de archivos específicos en el sistema de archivos. Como los nombres de usuario generalmente no están limitados por los caracteres que pueden contener, se puede construir un nombre de usuario que parezca un Path Traversal. Por ejemplo, podríamos agregar un usuario al sistema que contenga el nombre de usuario `../../../../bin/cp`. Cuando iniciaba sesión como usuario con ese nombre, ese usuario podía ejecutar `sudo -K` para borrar su archivo de registro de sesión. Luego, el código de sesión construye la ruta al archivo de sesión concatenando el nombre de usuario al directorio de almacenamiento del archivo de sesión, lo que da como resultado una ruta resuelta de `/bin/cp`. Luego, el código borra ese archivo, lo que da como resultado que el binario `cp` se elimine efectivamente del sistema. Un atacante debe poder iniciar sesión como usuario con un nombre de usuario construido. Dado que es poco probable que dicho nombre de usuario exista en un sistema existente, también deberán poder crear usuarios con los nombres de usuario creados. El problema se solucionó en la versión 0.2.1 de sudo-rs. Sudo-rs ahora usa el uid del usuario en lugar de su nombre de usuario para determinar el nombre del archivo. Tenga en cuenta que una actualización a esta versión hará que se ignoren los archivos de sesión existentes y los usuarios se verán obligados a volver a autenticarse. También elimina por completo cualquier posibilidad de Path Traversal, dado que los uids son siempre valores enteros. Los comandos `sudo -K` y `sudo -k` se pueden ejecutar, incluso si un usuario no tiene acceso a sudo. Como workaround, asegúrese de que su sistema no contenga ningún usuario con un nombre de usuario especialmente manipulado. Si bien este es el caso y aunque los usuarios que no son de confianza no tienen la capacidad de crear usuarios arbitrarios en el sistema, no se debería poder explotar este problema.

DataEase es una herramienta de análisis y visualización de datos de código abierto. Antes de la versión 1.18.11, DataEase tenía una vulnerabilidad que permitía a un atacante obtener cookies de usuario. El programa sólo utiliza el método `ImageIO.read()` para determinar si el archivo es un archivo de imagen o no. No existe ninguna restricción de inclusión en la lista blanca de sufijos de archivos. Esto permite al atacante sintetizar el código de ataque en una imagen para cargarla y cambiar la extensión del archivo a html. El atacante puede robar las cookies del usuario accediendo a enlaces. La vulnerabilidad se ha solucionado en v1.18.11. No se conocen workarounds.

plone.namedfile permite a los usuarios manejar los campos `File` e `Image` dirigidos, pero no dependiendo del contenido de Plone Dexterity. Antes de las versiones 5.6.1, 6.0.3, 6.1.3 y 6.2.1, existe una vulnerabilidad de Cross-Site Scripting almacenado para imágenes SVG. Una revisión de seguridad de 2021 ya solucionó parcialmente este problema al garantizar que las imágenes SVG siempre se descarguen en lugar de mostrarse en línea. Pero el mismo problema todavía existe para las escalas de imágenes SVG. Tenga en cuenta que una etiqueta de imagen con una imagen SVG como fuente no es vulnerable, incluso cuando la imagen SVG contiene código malicioso. Para explotar la vulnerabilidad, un atacante primero tendría que cargar una imagen y luego engañar al usuario para que siga un enlace especialmente manipulado. Los parches están disponibles en las versiones 5.6.1 (para Plone 5.2), 6.0.3 (para Plone 6.0.0-6.0.4), 6.1.3 (para Plone 6.0.5-6.0.6) y 6.2.1 (para Plón 6.0.7). No se conocen workarounds.

plone.rest permite a los usuarios utilizar verbos HTTP como GET, POST, PUT, DELETE, etc. en Plone. A partir de la rama 2.x y antes de las versiones 2.0.1 y 3.0.1, cuando el recorridor `++api++` se usa accidentalmente varias veces en una URL, su manejo lleva cada vez más tiempo, lo que hace que el servidor responda menos. Los parches están disponibles en `plone.rest` 2.0.1 y 3.0.1. La serie 1.x no se ve afectada. Como workaround, se puede redirigir `/++api++/++api++` a `/++api++` en el servidor web frontend (nginx, Apache).

Como se indica en el archivo “VTPM.md” en la documentación de eve, “VTPM es un servidor que escucha en el puerto 8877 en EVE, lo que expone la funcionalidad limitada del TPM a los clientes. VTPM permite a los clientes ejecutar binarios de tpm2-tools a partir de una lista de opciones codificadas. La comunicación con este servidor se realiza mediante protobuf y los datos se componen de 2 partes: 1. Encabezado 2. Datos Cuando se realiza una conexión, el servidor esperando 4 bytes de datos, que serán el encabezado, y estos 4 bytes se analizarán como el tamaño uint32 de los datos reales siguientes. Luego, en la función ""handleRequest"", este tamaño se usa para asignar un payload en memoria para los datos entrantes. A medida que este payload se asigna en la memoria, esto permitirá desbordar el tamaño asignado para el proceso relevante con datos libremente controlados. <br /> * Un atacante puede bloquear el sistema. <br /> * Un atacante puede obtener control sobre el sistema, específicamente sobre el proceso ""vtpm_server"", que tiene privilegios muy altos.

Al arrancar, el contenedor Pillar eve comprueba la existencia y el contenido de “/config/GlobalConfig/global.json”. Si el archivo existe, anula la configuración existente en el dispositivo al arrancar. Esto permite a un atacante cambiar la configuración del sistema, que también incluye algunas funciones de depuración. Esto podría usarse para desbloquear el ssh con “claves_autorizadas” personalizadas a través de la clave “debug.enable.ssh”, similar al hallazgo de “claves_autorizadas” que se señaló anteriormente. Otros usos incluyen desbloquear el USB para habilitar el teclado mediante la tecla ""debug.enable.usb"", permitir el acceso a VNC mediante la tecla ""app.allow.vnc"" y más. Un atacante podría habilitar fácilmente estas funcionalidades de depuración sin activar el mecanismo de ""measured boot"" implementado por EVE OS y sin marcar el dispositivo como ""UUD"" (""Actualización desconocida detectada""). Esto se debe a que la partición “/config” no está protegida por “measured boot”, es mutable y no está cifrada de ninguna manera. Un atacante puede obtener control total sobre el dispositivo sin cambiar los valores de PCR, por lo que no activará el mecanismo de ""measured boot"" y tendrá acceso completo a ""vault"". Nota: Este problema se solucionó parcialmente en estos commits (después de la divulgación a Zededa), donde la medición de la partición de configuración se agregó a PCR13: <br /> • aa3501d6c57206ced222c33aea15a9169d629141 <br /> • 5fef4d92e75838cc78010edaed5247dfbdae1889. <br /> Este problema se hizo viable en la versión 9.0.0 cuando el cálculo se trasladó a PCR14, pero no se incluyó en el ""measured boot"".

Al sellar/abrir la clave de “vault”, se utiliza una lista de PCRs, que define qué PCRs se utilizan. En un proyecto anterior, CYMOTIVE descubrió que la configuración no está protegida por el arranque seguro y, en respuesta, Zededa implementó medidas en la partición de configuración que estaba asignada a PCR 13. En ese proceso, PCR 13 se agregó a la lista de PCRs que sellan /abrir la llave. En el commit “56e589749c6ff58ded862d39535d43253b249acf”, la medición de la partición de configuración pasó de PCR 13 a PCR 14, pero PCR 14 no se agregó a la lista de PCR que sellan/abren la clave. Este cambio hace que la medición de PCR 14 sea efectivamente redundante ya que no afectaría el sellado/abrir de la llave. Un atacante podría modificar la partición de configuración sin activar el arranque medido, lo que podría dar como resultado que el atacante obtenga control total sobre el dispositivo con acceso completo al contenido de la "vault" cifrada.